올해의 해킹 타임라인은 미쳤다
(ringmast4r.substack.com)- 2026년 초 약 100일 동안 국가 및 범죄 조직이 연루된 대규모 사이버 공격이 연속적으로 발생하며, 컴퓨터 보안사에서 전환점으로 평가될 수준의 사태가 이어짐
- 공격은 이란, SLH, 북한, 러시아 네 개 클러스터로 구분되며, 모두 공급망과 신뢰 관계 악용이라는 공통 구조를 가짐
- 주요 피해로는 Stryker의 20만대 시스템 삭제, Lockheed Martin의 375TB 유출 주장, FBI 국장 이메일 유출, Axios npm 감염, Oracle·Cisco·Rockstar·Mercor 침해 등이 포함됨
- AI 기술이 공격 자동화에 활용되며 AI 생성 피싱 1,265% 증가, 보이스피싱 442% 증가, AI 딥페이크 금융 사기 등 새로운 위협 양상이 등장
- 정부와 산업계는 비공개로 대응 중이나, 공공 담론의 침묵과 정보 비대칭이 두드러져 이번 100일이 사이버 역사상 가장 중대한 시기로 평가됨
2026년 초 100일간의 대규모 사이버 사건 개요
- 2026년 첫 4개월 동안 중국, 이란, 북한, 러시아 등 국가 및 범죄 조직이 연루된 대형 사이버 공격이 연속적으로 발생
- 중국 국영 슈퍼컴퓨터의 10페타바이트 유출, Stryker의 79개국 전면 마비, Lockheed Martin의 375TB 유출 주장, FBI 국장 개인 이메일 유출, FBI 감청망 침입, Rockstar Games·Cisco·Oracle·Mercor 등 다수 기업 피해
- 약 100일간 이어진 이 사건들은 컴퓨터 보안사에서 전환점으로 기록될 가능성이 높음
- 그러나 대중적 논의는 거의 없으며, 정부와 산업계의 비공개 대응과 공공 담론의 침묵 간 괴리가 두드러짐
네 개의 주요 공격 클러스터
- 2026년 공격들은 이란, SLH, 북한, 러시아의 네 개 클러스터로 구분되며, 모두 공급망·신뢰 관계 악용이라는 공통 구조를 가짐
-
클러스터 1: 이란 / Handala / Void Manticore
- 파괴적 국가 주도 작전, Palo Alto Networks Unit 42는 Void Manticore를 이란 정보보안부(MOIS)와 연계된 행위자로 식별
- Handala Hack Team 명의로 미국 산업·국방·정부 기관 공격 수행, 2026년 2월 미나브 학교 폭격(175명 사망) 에 대한 보복 주장
- 피해: Stryker(20만대 장비 삭제), Lockheed Martin(375TB 유출 주장, 28명 엔지니어 신상 공개), FBI 국장 개인 이메일 유출
-
클러스터 2: Scattered LAPSUS$ Hunters (SLH)
- 금전 목적의 SaaS 대규모 탈취·협박 조직, 2025년 8월 ShinyHunters·Scattered Spider·LAPSUS$ 결합으로 형성
- Salesforce 캠페인에서 300~400개 조직, 15억 건의 Salesforce 기록 탈취, 피해 기업은 Google, Cisco, LVMH, Okta, AMD, Snowflake 등
- 공격 방식은 OAuth 토큰 탈취에서 전화 기반 MFA 조작으로 진화, 보이스피싱이 2026년 가장 많은 기업 침해를 유발한 요인으로 지목
-
클러스터 3: 북한 / UNC1069
- 오픈소스 공급망 침해 중심의 금전 목적 공격, Axios npm 패키지 탈취 사건이 대표적
- 공격자는 가짜 회사·Slack·Teams 환경을 만들어 유지자 신뢰를 얻은 뒤 npm 계정 탈취, 주 1억 다운로드 규모 라이브러리에 RAT 삽입
- Cisco의 Trivy 공급망 공격도 유사한 신뢰 기반 침해 패턴
-
클러스터 4: 러시아 / APT28
- 우크라이나 및 EU 대상 제로데이 공격, Microsoft Office 취약점(CVE-2026-21509) 악용
- 60여 개 유럽 이메일 계정과 우크라이나 정부기관 공격, 신뢰 관계 악용과 빠른 무기화 속도가 특징
- 네 클러스터 모두 서방 기업의 방어 경계가 공급망 신뢰로 대체된 현실을 이용
- 이란은 파괴, SLH는 금전 탈취, 북한은 개발자 감염, 러시아는 정보 수집 목적
주요 사건별 세부 내용
-
Stryker: 전 세계 의료기기 기업 대상 실시간 와이퍼 공격
- 2026년 3월 11일, Stryker Corporation이 전 세계적으로 마비
- 공격자는 Windows 도메인 관리자 계정을 탈취해 Microsoft Entra·Intune에서 글로벌 관리자 생성 후 원격 초기화 명령 실행, 20만 대 시스템 삭제
- 병원 수술 연기 등 환자 치료 지연 발생, Handala가 공격을 자처
- FBI는 Handala 도메인 4개 압수 및 1천만 달러 현상금 공표, Handala는 트럼프·네타냐후에 5천만 달러 역현상금으로 대응
-
Lockheed Martin: 375TB 유출 주장과 28명 엔지니어 신상 공개
- “APT Iran” 명의로 375TB 데이터 탈취 및 다크웹 판매(4억→5.98억 달러) 주장, F-35 관련 설계도 포함 주장 있으나 증거 미검증
- Handala는 F-35, F-22, THAAD 프로그램 엔지니어 28명의 신상 공개 및 협박, 국가 주도 도크싱 사례로 평가
-
FBI 국장 개인 이메일 유출 사건
- 2026년 3월 27일, Handala가 FBI 국장 Kash Patel의 개인 Gmail에서 300여 통 이메일·사진·이력서 공개
- 비밀번호 재사용 기반 크리덴셜 스터핑 공격으로, 기술적 복잡성은 낮음
- FBI 도메인 압수 8일 후 발생한 보복성 공개, “FBI 국장 메일을 읽을 수 있다”는 상징적 시위
-
FBI 감청망 침입 사건
- 2026년 2월 17일 이상 징후 탐지, 3월 23일 법적 ‘중대 사건(major incident)’ 으로 분류
- 공격자는 상용 ISP 인프라를 이용해 FBI 보안 통제 우회, 내부 감청·감시 네트워크 접근
- 공급망 신뢰 관계 악용형 침입으로, Patel 개인 이메일 사건보다 훨씬 심각한 사건으로 평가
글로벌 기업 및 인프라 침해 사례
-
Axios npm 계정 탈취 사건
- 2026년 3월 31일, Axios 라이브러리의 npm 계정 탈취로 악성 버전 1.14.1·0.30.4 게시
- 약 2~3시간 동안 1억 회 다운로드 규모의 패키지가 감염, 모든 CI 파이프라인에 RAT 설치
- Google Threat Intelligence Group은 북한 UNC1069 소행으로 공개
- 가짜 회사 설립·Slack·Teams 협업 환경 조작 등 사회공학 기반 침투, XZ Utils 백도어 이후 가장 정교한 npm 공격으로 평가
-
Cisco: Trivy 공급망 침해와 Salesforce 데이터 갈취
- 2026년 3월, Trivy 공급망 공격으로 Cisco 내부 개발 환경 침해, 300개 GitHub 저장소 복제
- ShinyHunters가 Salesforce 데이터 300만 건 탈취 주장, 금전 요구
- Cisco는 일부 사실 인정, 공급망과 SaaS 모두에서 보안 성숙 기업도 취약함이 드러남
-
Mercor: AI 산업 핵심 데이터 파이프라인의 단일 취약점
-
OpenAI, Anthropic, Meta등 주요 AI 연구소의훈련 데이터 파이프라인 담당 스타트업
- 2026년 3월, LiteLLM 라이브러리 감염으로 자격 증명 탈취, AI 훈련 데이터·라벨링 프로토콜 유출
- Lapsus$가 후속 침해를 자처하며 4TB 데이터 공개, 내부 Slack 덤프·API 키·AI 계약자 대화 영상 포함
- Meta가 Mercor와의 계약 중단, AI 산업의 소수 스타트업·오픈소스 의존성 문제 부각
-
-
Oracle Cloud: 600만 건 데이터 유출과 ‘레거시 클라우드’ 문제
- 2026년 3월 21일, 해커 “rose87168”이 Oracle Cloud 600만 건 데이터 판매 주장
-
CVE-2021-35587취약점으로 Oracle Access Manager 침해, 14만 테넌트 영향
- Oracle은 초기 부인 후 레거시 환경 접근 인정, 최대 80개 병원 데이터 노출 보도
- 폐기되지 않은 구형 인프라(Shadow Legacy) 위험성 부각
-
Rockstar Games: SaaS 통합을 통한 침투
- 2026년 4월 초, ShinyHunters가 Rockstar Games 침해 주장, Rockstar는 Anodot SaaS 침해로 확인
- 공격자는 Anodot 인증 토큰 탈취 후 Snowflake 인스턴스 접근, SaaS-데이터웨어하우스 신뢰 체인 취약성 노출
-
유럽 항공 시스템 마비
- 2026년 4월 6일, Heathrow·Charles-de-Gaulle·Frankfurt·Copenhagen 등 공항의 체크인·수하물 시스템 동시 마비
- 하루 1,600편 이상 항공편 취소·지연, Collins Aerospace MUSE 플랫폼 원인
- EASA는 2024~2025년 항공 사이버 공격이 600% 증가, 월 1,000건 수준 보고
-
중국 NSCC 해킹
- 해커 FlamingChina가 중국 톈진 국가슈퍼컴퓨팅센터(NSCC) 에서 10페타바이트 데이터 탈취 주장
- 항공·방위 산업 시뮬레이션 파일, 국방과학기술대학 자료 포함, CNN 등 서방 언론 보도
- VPN 도메인 침해 후 6개월간 은밀한 유출, 중국 정부는 공식 입장 없음
-
Volt Typhoon과 Salt Typhoon
- Volt Typhoon은 2021년부터 미국 핵심 인프라 침투, Salt Typhoon은 2024~2025년 미국 통신사·감청 시스템 침해
- 2026년 사건들은 이들 장기 침투 기반 위에서 발생한 표면적 현상으로 분석
-
Honda: 누적된 다중 침해
- e-commerce 플랫폼 API 취약점, 비밀번호 재설정 절차 취약점, PLAY 랜섬웨어 침해 등 다중 사건
- 개별 피해는 경미하지만, 대기업의 보안 성숙도와 공격면 간 불균형을 보여주는 사례
AI 관련 이상 징후와 정부 대응
-
AI 기반 공격 급증
- 2025~2026년 AI 관련 데이터에서 공격 자동화와 위협 급증 동시 관찰
- AI 생성 피싱 이메일 1,265% 증가, 전체 피싱의 82.6%가 AI 생성
- 휴가철 기간 AI 생성 비율 4%→56%로 급등, 보이스피싱 442%, QR 피싱 400% 증가
- AI는 5분 만에 스피어피싱 메일 작성 가능, 클릭률 54%로 인간 작성(12%)의 4배 이상
-
북한의 AI 활용
- Microsoft는 Jasper Sleet, Coral Sleet 두 북한 행위자가 정찰부터 침투 후 활동까지 AI 활용한다고 명시
- Kimsuky 조직은 ChatGPT로 한국군·정부 신분증 위조
- 미국 재무부는 AI 생성 이력서·면접 답변으로 위장 취업하는 북한 IT 인력 네트워크 제재
-
AI 딥페이크 금융 사기
- AI 생성 CFO 및 동료 영상으로 구성된 Teams 화상회의에서 2,500만 달러 송금 유도 사건 발생
-
AI 모델의 공격 능력
- Anthropic의 Mythos 모델은 GPT-4o보다 빠르게(6.2시간 vs 10.4시간) 침투 시뮬레이션 수행, 73%의 애플리케이션 취약점 탐지
- Anthropic은 Mythos를 비공개로 유지, Microsoft·Google 등 40개사에만 제한 제공
- OpenAI도 유사 모델을 “Trusted Access for Cyber” 프로그램으로 제한 배포 예정
-
미국 정부의 긴급 대응
- 2026년 4월 7일, 미 재무장관 Scott Bessent와 연준 의장 Jerome Powell이 5대 은행 CEO를 워싱턴으로 소집
- 이유: Anthropic이 Mythos가 모든 주요 OS·브라우저에서 수천 개의 제로데이 취약점 발견했다고 보고했기 때문
- 정부는 이를 금융 안정성 수준의 위협으로 간주, 최고위급 비공개 브리핑 실시
2026년 1분기 전체 사건 요약
- 1~4월 사이 공개된 주요 사건만 40건 이상, 실제로는 수백 건 규모
- SLH Salesforce 캠페인에서만 약 300~400개 조직, 15억 건 데이터 유출 추정
- 2026년 3월 한 달간 랜섬웨어 672건, Qilin·Akira·DragonForce가 40% 차지
- 2025년 대비 랜섬웨어 공격 49% 증가, 의료 부문이 22% 차지
왜 이렇게 조용한가?
- 대규모 사건에도 불구하고 주류 언론과 공공 담론의 반응이 미약
- 국가 배후 지목의 정치적 부담, 보안 산업의 상업적 이해관계, 사이버 피로감, AI 산업과의 불편한 병존 등이 원인으로 제시
-
정부 최고위층에서는 정보가 공유되고 있으나, 대중 담론에서는 침묵이 유지
- 2026년 초 100일은 사이버 역사상 가장 중대한 시기 중 하나로 평가되며, 공공 담론의 침묵 자체가 역사적으로 주목할 현상으로 기록될 가능성 있음
Hacker News 의견들
-
기술 실사 업무의 일환으로 PE 투자 관점에서 보안과 gen-AI 시대를 다루는 콘텐츠를 작성 중임
최근 6개월 동안 조사한 결과, 우리는 사실상 랜섬웨어 아포칼립스로 진입 중임을 깨달았음
gen-AI는 사이버 범죄자들에게 완벽한 도구가 되었음. 수천 개의 가짜 사이트와 프로필을 자동으로 만들어 광고나 링크 신뢰 체계를 무력화하고, 음성·텍스트·영상이 결합된 피싱 공격이 일상화되고 있음
공급망 공격은 패키지 매니저를 폭탄으로 만들고, 랜섬웨어 갱단은 이제 SaaS 형태로 공격 도구를 판매함
국가급 공격 수준의 기술이 이제는 푼돈으로 거래되고 있음. 게다가 gen-AI로 인해 취약한 코드가 폭증하고 있음
젊은 기술인이라면 보안 분야로 진로를 잡는 게 현명할 것임. 앞으로 정말 미친 세상이 올 것임- 사람들은 genAI가 인터넷 자체에 대한 실존적 위협이라는 걸 잘 모르는 듯함
이제는 웹의 정보를 신뢰할 수도, 굳이 웹이 필요하지도 않은 시대가 됨
방어 메커니즘이 제때 작동해 보안이 컴퓨팅 문화 전반에 스며들기를 바람 - 그래도 나는 여전히 소프트웨어 엔지니어링을 추천함
대부분의 기업에서 보안은 여전히 비용 항목일 뿐이며, 사고가 터질 때만 관심을 가짐
반면 보안 SaaS는 수익을 내고 있으니 그쪽은 유망함 - 만약 AI가 이런 공격을 수행할 수 있다면, 보안 엔지니어도 AI로 대체되지 않을 이유가 없지 않음
- 결국 일반인들은 인터넷에서 퇴출당하는 결과가 될 것 같음. 너무 위험해질 것임
- 단순히 자격증만 가진 CISSP나 SOC 오퍼레이터로는 미래가 없음
개발 기본기, OS 내부 구조, 웹 기술, 알고리즘, 공격·방어 개념을 모두 이해하는 진짜 엔지니어가 되어야 함
북미의 많은 ‘사이버보안 전공자’들이 L1 헬프데스크 수준에도 못 미치는 현실이 안타까움
- 사람들은 genAI가 인터넷 자체에 대한 실존적 위협이라는 걸 잘 모르는 듯함
-
이상한 점은, 2026년 4월 7일에 미 재무장관과 연준 의장이 주요 은행 CEO들을 긴급 소집해 Anthropic의 Mythos 관련 사이버 리스크를 직접 브리핑했다는 것임
캐나다에서도 비슷한 회의가 있었음. 여러 중앙은행이 동시에 이런 회의를 여는 건 매우 이례적임- 아마도 두 가지 가능성이 있음
- 주요 소프트웨어 패키지에서 대규모 취약점이 발견되어 금융권이 위험해진 경우
- 여러 패키지에서 동시다발적으로 취약점이 발견되어 시장 충격이 우려되는 경우
선거를 앞둔 시점이라 경제 불안은 정치적으로도 큰 리스크임
- 전통 금융에서는 돈을 훔쳐도 되돌릴 수 있는 시스템인데, 어떻게 오프램프가 가능한지 궁금함
암호화폐처럼 되돌릴 수 없는 구조가 아닌데 말임 - 정부가 Anthropic 제품을 쓸 수 없다는 점이 그나마 다행임
- 아마도 두 가지 가능성이 있음
-
대부분의 사건은 이미 Hacker News에 다뤄졌음
기업들은 보안 수준을 계층적으로 관리해야 함. 모든 걸 보호할 수는 없고, 중요한 자산에는 비용과 불편을 감수해야 함
항공우주 업계에서는 프로젝트를 SECRET 등급으로 돌리면 비용이 두 배로 뛰었음. TOP SECRET은 그 이상이었음
은행과 카드사는 이런 현실을 이해하지만, 대부분의 기업은 그렇지 않음- 이런 논의가 HN에 계속 올라왔지만, 정작 보안의 심각성을 인정하지 않고 비꼬는 태도가 문제임
“난 이미 다 읽었는데 뭐가 새롭냐”는 식의 반응이 많음 - 가장 효과적인 보안 방법은 인터넷 연결된 PC와 중요 데이터 처리용 PC를 완전히 분리하는 것임
다만 두 대 이상의 컴퓨터를 써야 해서 불편함
현실적인 대안은 RDP 같은 프로토콜로 연결된 임시 VM만 인터넷에 접근하게 하는 방식임
- 이런 논의가 HN에 계속 올라왔지만, 정작 보안의 심각성을 인정하지 않고 비꼬는 태도가 문제임
-
나는 보안 책임자로 일하며 좋은 커리어를 쌓았고, 리스크 관리 전문가로서 여러 회사를 거쳤음
하지만 이제 게임이 완전히 바뀌었음. 1년 내에 은퇴하고 AI와 무관한 직업(간호사, 배관공 등)으로 전환할 예정임
AI가 지배하기 전에 AI-proof한 재정적 독립을 확보해야 한다고 느낌
많은 보안 전문가들이 같은 생각을 하고 있음
기업들이 내부 문서에 PII를 흡수하는 AI 도입을 통제하지 않으면, 1990년대식 0-day 난장판이 다시 올 것임
보안팀은 과로와 번아웃으로 무너질 것이고, AI 도입으로 스스로의 일자리를 없애는 꼴이 될 것임
다음 경기 침체가 오면 이 현실이 드러날 것임- 이런 생각에 공감하지만, 세상은 대체로 “아무 일도 일어나지 않는다” 는 방향으로 흘러왔음
재정적 대비는 좋지만, 지나친 비관은 경계해야 함 - 간호사나 비서도 AI의 영향을 피하기 어려움
육체노동은 힘들고 보수도 낮음. 오히려 보안 전문가가 더 필요해질 수도 있음 - 현재 전 세계적으로 480만 개의 보안 인력 공백이 있음
수요는 1,020만 명인데 공급은 절반 수준임
업계 성장률도 0.1%로 둔화되고, 시니어들이 업계를 떠나면서 공격 성공률이 급증하고 있음
단기간에 나아질 가능성은 거의 없음 - 소프트웨어 엔지니어라면 지금이야말로 AI 방어에 나설 도덕적 의무가 있다고 생각함
악의적 AI로부터 스스로와 사회를 지켜야 함 - 한쪽은 보안 진입 FOMO, 다른 쪽은 FUD 분위기임
현실은 그 중간 어딘가일 것 같음
- 이런 생각에 공감하지만, 세상은 대체로 “아무 일도 일어나지 않는다” 는 방향으로 흘러왔음
-
예전에는 몇 GB의 데이터 유출도 큰 사건이었는데, 이제는 테라바이트·페타바이트 단위로 털리고 있음
- 나쁜 소식: 데이터 브로커들이 가진 모든 개인 정보가 곧 공개될 것임
좋은 소식: 정치인들의 데이터도 함께 공개되어 규제 논의가 촉발될 수도 있음
- 나쁜 소식: 데이터 브로커들이 가진 모든 개인 정보가 곧 공개될 것임
-
Mythos가 주요 OS와 브라우저의 제로데이 수천 개를 발견했다면, 정보기관들이 이미 확보했을 가능성이 높음
이제는 백도어가 필요 없을 정도임
하지만 소프트웨어 벤더들이 그 취약점 목록을 받았는지는 의문임 -
글이 LLM 특유의 문체 때문에 읽기 힘듦
“공공 담론의 침묵이 깨지지 않았다” 같은 표현이 반복되어 과장된 느낌임 -
Anthropic의 마케팅 팀은 정말 무섭게 유능함. 혹시 Opus가 이 전략을 짠 걸까 궁금함
- 공포 마케팅은 보안 업계의 전통임
기술적 주장은 과장이 아닐 수 있지만, 특정 기업만 독점적으로 신뢰받는다는 건 말이 안 됨 - Mythos의 능력이 진짜라면 곧 대형 기술사들이 그 사실을 확인하게 될 것임
허풍이라면 금방 들통날 것임 - AI와 보안의 결합은 이제 하나의 장르로 자리 잡은 듯함
- 공포 마케팅은 보안 업계의 전통임
-
실제로는 상황이 그렇게 미친 수준은 아님. 최근성 편향일 뿐임
스팸 품질이 좋아지고, 음성 클로닝이나 대규모 공격 자동화 같은 개선은 있지만 대부분의 공격은 여전히 n-day 취약점을 이용함 -
2025년 8월, 악명 높은 해킹 그룹 ShinyHunters, Scattered Spider, LAPSUS$ 가 합병해 ‘Scattered LAPSUS$ Hunters(SLH)’라는 사이버 범죄 연합체를 만들었다는 소식이 흥미로움
마치 스타트업의 M&A처럼 수직 통합 SaaS를 구축하는 셈임
혹시 내부에서 인력 구조조정이 ‘물리적 방식’으로 이뤄졌을지도 궁금함- 이런 그룹들은 사실상 기업이나 정부 기관처럼 운영됨
내부 경험은 일반 기술 회사에서 일하는 것과 다르지 않음
- 이런 그룹들은 사실상 기업이나 정부 기관처럼 운영됨